Почему следующие netstat, ps и auth.log имеют такой вывод?
Кажется, я получаю много различных соединений (ssh) на этом сервере Ubuntu я sshed в. Это что, просто попытки грубой силы?
При запуске netstat -tnpa | grep 'ESTABLISHED.*sshd' почему я получаю в конце каждой строки "root@p" и "[accep" соответственно?
Более того, при запуске grep sshd.\*Failed /var/log/auth.log | tail -20 я, кажется, получаю кучу разных "недействительных пользователей". Почему это так?
Наконец, ps auxwww | grep sshd: выводит два "[принято]". Почему это так?
Спасибо. Вывод команды можно посмотреть ниже -->
https://i.stack.imgur.com/f2qNQ.png https://i.stack.imgur.com/kMByp.png
Обновление:
Еще одна интересная вещь произошла сейчас. Я снова запустил netstat -tnpa | grep 'ESTABLISHED.*sshd' и IP в виде "103.100.xxxx" из Гонконга, по-видимому, был указан. Затем я запустил cat /var/log/auth.log | tail -100 и получил следующее
Feb 16 17:58:25 838396123831 sshd[227710]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.100.210.xxx user=root
Feb 16 17:58:26 838396123831 sshd[227708]: Received disconnect from 103.136.xxxxp ort 33268:11: Bye Bye [preauth]
Feb 16 17:58:26 838396123831 sshd[227708]: Disconnected from invalid user hero 103.136.xxxx port 33268 [preauth]
Feb 16 17:58:27 838396123831 sshd[227710]: Failed password for root from 103.100.xxxx port 40810 ssh2
Feb 16 17:58:27 838396123831 sshd[227710]: Received disconnect from 103.100.xxxx port 40810:11: Bye Bye [preauth]
Feb 16 17:58:27 838396123831 sshd[227710]: Disconnected from authenticating user root 103.100.xxxx port 40810 [preauth]
Затем я запустил grep sshd.\*Failed /var/log/auth.log | tail -20 и заметил Feb 16 18:00:42 838396123831 sshd[227760]: Неудачный пароль для недействительного пользователя ircbot из 103.136.xxxxx порта 47546 ssh2
Затем я запустил grep sshd.\*Failed /var/log/auth.log | tail -100 и увидел
Feb 16 17:53:24 838396123831 sshd[227596]: Failed password for root from 103.136.xxxx port 33470 ssh2
Feb 16 17:55:57 838396123831 sshd[227652]: Failed password for root from 103.136.xxxxx port 47406 ssh2
Feb 16 17:58:24 838396123831 sshd[227708]: Failed password for invalid user hero from 103.136.xxxxx port 33268 ssh2
Feb 16 18:00:42 838396123831 sshd[227760]: Failed password for invalid user ircbot from 103.136.xxxxx port 47546 ssh2
Что это значит? Что происходит? Был ли или есть кто-нибудь еще, кто смог войти на сервер по ssh?
1 ответ
Да, это атаки грубой силы. Любой, у кого есть внешнее устройство, почти сразу же подвергнется подобным атакам.
Нет, я не думаю, что вы действительно были скомпрометированы. Соединение ESTABLISHED , которое вы наблюдали, было всего лишь попыткой. Не путайте tcp-соединение ESTABLISHED с успешным входом в SSH, это не одно и то же.
Я предполагаю, что реальное SSH-соединение - это вы.
Рассмотрим вопрос об изменении SSH-порта в сторону от порта 22 по умолчанию и/или реализации детектора "плохого парня". Многие рекомендуют fail2ban. Я использую последний модуль в iptables. Хитрость с Китаем в том, чтобы заблокировать целую подсеть, а не только атакующий IP, потому что они стали умнее и просто переключились на другой IP после блокировки. Пример сегмента правила iptables, несколько вырванный из контекста:
# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --mask $BIT_MASK --set --name BADGUY_SSH -j ACCEPT